Jak šifrovat systémový disk a proč opravdu, opravdu byste měli

Tento článek představuje případ šifrování celého systémového disku. Důvod číslo jedna, jak ukazuje níže uvedený tutoriál, je ten, že je díky TrueCrypt neuvěřitelně snadné. Ale další důvody mají hodně co do činění s krádeží identity a v případě federálního vyšetřování trochu společného s pokrytím zadku (ets). Pokud jste již přesvědčeni, můžete přeskočit na tutoriál s odkazy níže. Jinak čtěte dál.

• Proč by měl mít každý zašifrovaný systémový disk
• Jak zašifrovat celý systémový disk pomocí TrueCrypt
• Jak trvale dešifrovat systémový disk

Proč by měl mít každý zašifrovaný systémový disk

Dobře, dovolte mi to kvalifikovat. Ne každý by měl šifrovat svůj systémový disk. Pouze každý, kdo má ve svém počítači osobní nebo finanční informace, například daňové přiznání hesla, historie procházení, e-maily, životopisy, adresáře, fotografie a videa, účty za služby, účet historie atd. Pokud vše, co počítač používáte, čte Reddit v anonymním režimu, pravděpodobně nebudete muset data šifrovat. Ale pokud jste jako naprostá většina uživatelů osobních počítačů nebo firemních počítačů, máte cenné údaje, které zaručují ochranu. Zde jsou tři hlavní rizika spojená s nešifrovaným pevným diskem.

1. Zloději nejsou hned po vašem hardwaru

Zloděj pravděpodobně způsobí, že několik stovek babek oplodí ukradený notebook. Ale může vydělat ještě více peněz, pokud ukradne vaši identitu, když je u toho. Ať už je to vaše bitcoinová peněženka, staré daňové přiznání nebo instalace prohlížeče Google Chrome s Amazon, PayPal a hesla online bankovnictví uložena do mezipaměti, mohla by být data na vašem pevném disku mnohem cennější než hardware sám.

"Aha, ale mám svůj účet Windows chráněn heslem." Ani se nebude moci přihlásit, “říkáte.

Promiňte. Zloději dat / laptopů musí být jen trochu chytří, aby obešli přihlašovací obrazovku Windows a dostali se ke svým datům. Potřebuje pouze zaváděcí instalaci systému Linux na thumbdrive, který by mohl nabootovat váš počítač a prozkoumat obsah systémové jednotky v plném rozsahu. Důvodem je, že vaše ochrana heslem Windows zabraňuje pouze někomu přihlásit se k vašemu uživatelskému účtu Windows. Nezabrání jim to v přístupu k datům jiným způsobem, než klíčem zapalování zabrání držitelům karikatury rozbití okna a hotwiring vašeho automobilu. Vím o okrajových případech. Možná jste šifrovali své soubory a složky pomocí Steve EFS Encryption trick for Windows nicméně myslím, že to je opravdu výjimka, nikoli pravidlo. Pokračujme.

2. Na prodej: váš starý pevný disk (a všechna vaše data)

Záruky jsou fantastické. Měl jsem vyměněny pevné disky, zdroje napájení a celé počítače se zárukou lickety split, zdarma, bez potíží. Ale pokud jde o pevné disky, je tu háček. Chcete-li získat opravu nebo výměnu, musíte poštou zaslat svůj starý pevný disk (proces RMA). Totéž platí pro odesílání celého počítače na záruční opravy. Před tím se zdá logické bezpečně vymazat veškerá citlivá data z pevného disku, stejně jako před prodejem nebo recyklací počítače. Pokud je však váš počítač zděný nebo pevný disk není připojen, pak to není možné. Budete muset poslat na pevný disk se všemi vašimi daty stále neporušenými.

To by bylo problematické, kdyby, řekněme, existoval bezohledný technik (možná subdodavatel třetí strany), který shromažďoval zákaznická data při provádění záručního servisu. To je však pravděpodobně vzácné stane se. Ale mnohem běžnější je praxe dalšího prodeje použitých disků. Pokud jste sledovali webové stránky nabídky, možná jste si všimli „repasovaných“ pevných disků k prodeji s velkou slevou. Tyto repasované nebo recertifikované pevné disky jsou obvykle disky, které byly vráceny nebo vyměněny v rámci záruky. Výrobci vám často namísto čekání na vyhodnocení a opravu pevného disku pošlou zcela nový pevný disk, který pokryje vaši záruku. Poté si vezmou vaši cestu, opraví ji, přeformátují ji a (možná) ji bezpečně setřete, než ji zabalí a prodají zpět jinému zákazníkovi. Zatímco většina běžných uživatelů ani neví, že hledají zbytková data na použité jednotce, určená data guru pro zotavení nebo… i znuděný kluk by pravděpodobně mohl získat jen dostatek dat z přeformátované jednotky, aby něco udělal poškození pomocí snadno použitelné nástroje zdarma k dispozici na internetu. Číslo sociálního zabezpečení je konec konců jen devět číslic - pokaždé, když víte, co tím myslím.

Pokud vracíte hardware, je dobré požádat dodavatele nebo výrobce, aby jej po dokončení vyhodnocení zničil. Ale jak jeden pán vrátil počítač do Best Buy objevil, nutit obchod dodržovat jeho sliby není vždy snadné. Jak sledoval bloger MSNBC Bob Sullivan, zákazník Cincinnati vrátil rozbitý počítač společnosti Best Buy, protože si myslel, že jeho starý pevný disk bude bezpečně vyvrtán a zlikvidován. Hodně ke svému chagrinu dostal telefonát o šest měsíců později od cizince, který mu řekl: „Právě jsem koupil váš pevný disk“Na bleším trhu v Chicagu. Ouch…

3. Vyhodíte pevný disk? To by mohl být federální trestný čin

FACTA, HIPAA a další federální předpisy o ochraně osobních údajů a krádežích identity vyžadují, aby podniky řádně zlikvidovaly záznamy zákazníků a pacientů. Papírové záznamy - manilské složky, lékařské mapy, žádosti o půjčku - jsou první věcí, na které si přijde na mysl. Na digitální záznamy se však vztahuje také federální zákon. Pokud jste firma, která vás staví na háček pro správné likvidaci pevných disků a dalších médií. V dnešní době většina institucí jde daleko za vrtání děr skrz talíř a místo toho skartuje jednotky do malých kousků, stejně jako papír; nebo zadají zakázku společnosti, která se specializuje na poskytování osvědčení o zničení, aby prokázala, že práce byla dokončena.

Ale pokud nejste firma nebo nemocnice, nemusíte se bát, že? Nepřesně. Řekněme, že najmete chůvu nebo chůvu. V rámci své due diligence si na ni objednáte kontrolu na pozadí a výsledky uložíte - včetně její historie adres, jejího SSN atd. - na pevný disk starého počítače. O několik let později darujete starý počítač společnosti Goodwill, některé dítě si ho koupí, dělá obnovení souborů nebo obnovení dat a bam - má o vaší chůvě více informací, než by měl legálně. Jako zaměstnavatel vaší chůvy jste nesplnil svou federálně pověřenou povinnost chránit její identitu.

Šifrování systémového disku k záchraně

Skutečnou odpovědností ve všech těchto situacích je nechat citlivé nebo důvěrné informace zůstat nezašifrované na pevném disku. Data je notoricky obtížné vymýtit. To platí zejména, když mluvíme o jednotkách SSD a médiích typu flash (jako jsou SD karty); jedna studie zjistila, že to je téměř nemožné vymazat data na SSD. Proto je šifrování tak elegantním řešením. U šifrovaných dat nezáleží téměř na tom, zda vaše data spadnou do nesprávných rukou. Pokud nedokážou zašifrovat šifrování nebo uhodnout vaše heslo, nezískají z vašeho disku žádné použitelné osobní informace. Pokud datový zloděj připojí váš disk k jinému systému, vše, co najdou, je šifrované gibberish.

Kombinujte šifrování s bezpečným formátem (je-li to možné) a jste proti krádeži dat nezranitelní.

Šifrování systémového disku je výhodné, protože nenarušuje běžné používání počítače, s výjimkou hesla navíc, které lze zadat při spuštění a mírného poklesu výkonu. TomsHardware považuje dopad výkonu na „průměrné uživatele“ za neznatelný. Šifrování systémového disku chrání každý kousek dat na pevném disku, aniž byste museli vybírat a vybrat, které dokumenty a soubory se mají šifrovat. A nejlepší ze všeho, můžete to udělat zdarma pomocí TrueCrypt. Zde je návod:

Zašifrujte celý systémový disk pomocí TrueCrypt

Stáhněte a nainstalujte TrueCrypt na počítači se systémem Windows, který chcete zašifrovat (tento tutoriál používá TrueCrypt 7.1a).

Poté spusťte TrueCrypt a klikněte na System | Šifrovat systémový oddíl / jednotku ...

Dále vyberte typ šifrování systému. Doporučuji prozatím zvolit Normální. Skryté je pravděpodobně trochu nadměrné (přečtěte si popis na snímku, abyste se dozvěděli o jeho záměru). Klepněte na tlačítko Další.

V okně Oblast pro šifrování máte dvě možnosti. Pokud máte data a instalaci systému Windows ve stejném oddílu, vyberte první možnost („Šifrovat systémový oddíl Windows“). Pokud máte více oddílů - např. jedna pro vaše data a druhá pro váš operační systém - poté vyberte druhou možnost („Šifrovat celou jednotku“). Pokud si nejste jisti, jděte s druhým. Klepněte na tlačítko Další.

Na další obrazovce zvolte Single-boot nebo Multi-boot a klikněte na Next.

Dále vyberte možnosti šifrování. Pokud nevíte, co to znamená, výchozí nastavení je pro vás dost dobré. Upozorňujeme, že máte možnost použít více úrovní šifrování. I když je to bezpečnější, zvyšuje to dopad na výkon (to znamená, že počítač bude běžet o něco pomaleji, než kdybyste zvolili jedinou úroveň šifrování). Klepněte na tlačítko Další.

Vyberte heslo. Jako vždy, delší hesla jsou silnější. Ujistěte se však, že si pamatujete. Klepněte na tlačítko Další.

Přesunutím kurzoru myši náhodně rozdělíte obsah fondu. Klepněte na tlačítko Další.

Prohlédněte si hlavní a záhlaví klíče. Nemusíte to zapisovat ani nic. Tohle je jen FYI. Klepněte na tlačítko Další.

TrueCrypt vás nyní vyzve k vypálení záchranného disku TrueCrypt. Nevynechávejte tento krok. TrueCrypt používá k dešifrování disku speciální spouštěcí zavaděč. Pokud dojde k poškození nebo poškození systému, budete k přístupu k vašim datům potřebovat tento disk. Neztrácejte to. Upozorňujeme také, že obnovovací disk TrueCrypt je specifický pro váš šifrovaný systémový disk. Záchranný disk, který jste vytvořili, nemůžete použít pro jiný šifrovaný disk. Proces spustíte kliknutím na tlačítko Další.

Pokud v počítači nemáte jednotku CD / DVD, můžete také vytvořit disk obnovy TrueCrypt na jednotce USB. Pokud máte v počítači vypalovačku, dostanete se přímo k nástroji Windows Disc Image Burner a níže se nezobrazí výzva.

Po vypálení záchranného disku TrueCrypt se zobrazí dotaz, zda chcete zvolit režim bezpečného vymazání. To je opět pro ultraparanoid. Tento krok pravděpodobně můžete přeskočit a být v pořádku. Pokud však máte velmi velkou jednotku, kterou už nějakou dobu používáte, nebude zraňovat vymazání jednotky před jejím šifrováním. Jediné, co musíte ztratit, je čas. Pokud se ale nebojíte o někoho, kdo pomocí mikroskopie s magnetickou silou obnoví svá přepsaná data, zvolte Žádný (nejrychlejší) a klikněte na Další.

TrueCrypt nyní spustí předběžné testování šifrování systému. To znamená restart a výzvu k zadání nového hesla. Tím je zajištěno, že zavaděč TrueCrypt Boot Loader byl nainstalován správně a že vše funguje dobře, než je disk zašifrován. Až budete připraveni, klikněte na Testovat. Pokud test nebude fungovat dobře, budete mít stále možnost ustoupit.

Po klepnutí na tlačítko Test se zobrazí výzva k restartování počítače. Poté se zobrazí vaše normální obrazovka BIOS následovaná zavaděčem TrueCrypt Boot Loader. Chcete-li zavést systém Windows, zadejte své heslo.

Po úspěšné zkoušce můžete dokončit úlohu klepnutím na Šifrovat.

V závislosti na velikosti svazku a rychlosti počítače to může chvíli trvat. Na mém notebooku Core i5 trvalo asi pět hodin, než jsem zašifroval systémový disk o kapacitě 250 GB (nechal jsem ho běžet přes noc). Na mém počítači AMD Phenom II X4 2,8 GHz se odhadovalo 18 hodin na šifrování pevného disku 1,5 TB. Váš počet najetých kilometrů se bude lišit.

Naštěstí můžete šifrovací proces kdykoli odložit nebo pozastavit. Můžete dokonce restartovat nebo vypnout počítač a pokračovat v procesu šifrování tam, kde jste skončili. TrueCrypt spustí proces šifrování na pozadí, zatímco používáte jiné aplikace, ale prodlouží se tak celkový čas potřebný k zašifrování.

Po dokončení šifrování bude váš systém Windows vypadat a cítit se úplně stejně jako to. Jediný rozdíl je v tom, že uvidíte obrazovku TrueCrypt Boot Loader pokaždé, když zapnete počítač nebo jej probudíte z režimu spánku. Po probuzení ze spánku nemusíte zadávat své ověřovací heslo před spuštěním.

Vrácení šifrování celého systémového disku

Pokud vás nebaví děrovat další heslo nebo pokud chcete některý systémový disk trvale dešifrovat z jiného důvodu můžete zrušit šifrování systému TrueCrypt systémového disku kliknutím na Systém> Trvale dešifrovat systém Oddíl / disk.

Dostanete řádné varování, že váš disk bude později zašifrován. Po kliknutí na požadovaný počet opakování se spustí dešifrovací proces. Usadit se - to bude trvat téměř tak dlouho, jak dlouho bude trvat šifrování disku na prvním místě. Opět můžete kdykoli použít počítač a / nebo pozastavit nebo odložit dešifrování.

Po dokončení dešifrování budete vyzváni k restartu. Obrazovka zavaděče TrueCrypt Boot Loader se již nezobrazí a váš systémový disk bude nezašifrovaný.

Upozorňujeme, že i když nebudete vyzváni k zadání hesla, na váš systémový disk bude stále nainstalován zavaděč TrueCrypt. To by nemělo představovat žádné problémy. Pokud však zjistíte, že na hlavním spouštěcím záznamu zbývají zbytky, můžete MBR přepsat pomocí instalačního disku Windows 7 nebo Disk pro opravu systému Windows 7.

Závěr

Šifrování systémového disku pomocí TrueCrypt je bezplatné, bezpečné a snadné. Pokud jde o dopad na výkon a další nepříjemnosti, existuje relativně malá režie. Výhody pro vaše zabezpečení dat jsou však obrovské. Tímto způsobem je šifrování systémových disků hodně podobné pojištění domácnosti. Doufejme, že to nikdy nebudete muset použít. Ale když se stane něco nemyslitelného, ​​budeš ráda, že to tam je.